Как зайти в Приват24 для Бизнеса, минуя авторизацию. Со слов ПриватБанка: — «Не бага»!

Добрый день.
Как мы знаем у ПриватБанка для бизнеса появился новый интерфейс (www.privat24.ua). Разработчики, как полагается в таких ситуациях оставили возможность пользоваться старой версией ПриватБанка для бизнеса client-bank.privatbank.ua .

Маленькое отступление... Сразу скажу, предварительно я писал в Privatbank BugBounty program и даже звонил им. В итоге я добился того, чтобы мою заявку рассмотрели и написали резолюцию. Если коротко, то ответ ПриватБанка был: — «Это не бага». Собственно, в этом мы(форумчане) и попробуем разобраться.

Далее последует описание как у меня удалось войти в систему минуя авторизацию.

Preconditions:
1. Заходим в старую версию ПриватБанка для бизнеса client-bank.privatbank.ua (Старая версия).
2. Продвигаемся вглубь интерфейса Карты>Корп.Карты и копируем линк client-bank.privatbank.ua/...​ltid=service_business.xsl (Вы можете использовать и другой путь Платежи>по Украине>Создать и т.д. )
3. ОБЯЗАТЕЛЬНО!!! Нажимаем кнопку Выйти. И убеждаемся что мы вышли из системы.

STR:
1. Заходим в ПриватБанк для бизнеса www.privat24.ua (Новая версия) .
2. Продвигаемся вглубь интерфейса Другие услуги>Карты>Корп.Карты или Другие услуги>Платежи>по Украине>Создать или совершаем какой-нибудь платеж (в общем, ведем себя как обычный пользователь который зашел в систему по делу).
3. ОБЯЗАТЕЛЬНО!!! Нажимаем кнопку Выйти. И убеждаемся что мы вышли из системы.
4. Открываем новую вкладку в браузере, и вставляем линк из Preconditions шаг No 2 (client-bank.privatbank.ua/...​ltid=service_business.xsl).
5. Мы попадаем в старую версию ПриватБанка для бизнеса миную авторизацию (СМСки, звонки и т.д).

Отсюда следует, что человек который садится после Вас за компьютер, имея ссылку из Preconditions шаг No 2, узнает о Вас самые интимные финансовые подробности (как минимум).

Подобную операцию можно проделать только в течение 30 минут после нажатия кнопки Выход (дефолтное время сессии Приват24).

Я рекомендую, прислушиваться к советам ПриватБанка, которые можно найти по линку privatbank.ua/ru/safeness
Правило No 3. Используйте Приват24, соблюдая меры безопасности:
• Не заходите в Приват24 с компьютеров в общественных местах (интернет-клубах, местах с публичным Wi-Fi).

И напоследок.
Комрады которые пользуются данным сервисом, попробуйте воспроизвести «Эту не багу». Если я что-то делаю неправильно или лыжи не едут, прошу Вас указать это в комментариях.

Спасибо.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Прочитал статью, проверил — работает. Через 10 мин. пробую снова — не выходит. Правда, есть нюансы) Когда заходишь в старую версию (т.е. выполняешь Pre), то сразу автоматом кидает на новый интерфейс. Для захода в старый интерфейс надо тяпнуть по кнопочке внизу «Повернутись до старого інтерфейсу». После этого в старом интерфейсе полазить по меню и нажать «Вихід». Выполняя STR после входа попадаем сразу на старый интерфейс. Для переключения на новый надо нажать на баннер сверху. После этого получается открытые две сессии, и выходя из нового интерфейса старый остается активным (не помогает даже закрытие вкладки).

видимо сильно мелкий баг, чтобы вознаграждение тебе платить за него, либо знают сами, просто не приоритетно чинить такую фигню

Да к черту вознаграждение. Тут идет отрицание того что это Баг.
Но также, сегодня они заблокировали вход в новый интерфейс через privat24.ua.

П24 для бизнеса не пользовался, проверить не могу, но предположу: SPA на куках, ещё и бекенд через жопу реализован (не уничтожает сессию при выходе)

Если что, насколько мне известно, Вы можете зайти в Приват24 для Бизнеса, под логином и паролем от обычного Приват24 для физ. лиц.

да, верно. Если есть привязка, то можно из физ. лица перейти в бизнес.

Рискну предположить, что просто сделали через жопу: переведя вход на privat24.ua, весь функционал оставили на домене client-bank.privatbank.ua, и не нашли ничего умнее чем создать ДВЕ СЕССИИ одновременно. А выход закрывает только ОДНУ сессию.

Мой совет — ПРОДОЛЖИ общение с ПБ, но в этот раз добавь зелёные картинки-скриншоты (это чтобы пройти барьер «девочек» которых посадили пообщаться и показать что им не стыдно будет передать багу наверх, что она большая).

Обязательно покажи скриншот с куками после выхода, и красной стрелочкой, что вот она осталась.

Напиши коронную фразу «программистам это исправить 5 минут», но если СРОЧНО не починить, могут возникнуть существенные опасения у корпоративных клиентов, они могут отказаться от ПБ.

Почему так: это бюрократия. Они живут в параллельном мире.

Рискну предположить, что просто сделали через жопу: переведя вход на privat24.ua, весь функционал оставили на домене client-bank.privatbank.ua, и не нашли ничего умнее чем создать ДВЕ СЕССИИ одновременно. А выход закрывает только ОДНУ сессию.

Как подтверждение Ваших слов:
Когда мы заходим в Новый интерфейс privat24.ua и с главной страницы нажимаем кнопку Вернутся в старый интерфейс, идет переадресация на главную страницу client-bank.privatbank.ua где нас просят ввести логин и пароль (кажется такого не должно быть).

В 90% пользователи ссылаясь на User eXperience понимают что система их автоматически вылогинила, но это не так. Нам нужно нажать в браузере кнопку Назад, и мы возвращаемся авторизованными в Новый интерфейс.

Но допустим, мы только что познакомились с системой, и любое поведение для нас является приемлемым. Мы вводим логин и пароль, делаем свои финансовые делишки, нажимаем кнопку Выход. И выходим из client-bank.privatbank.ua.
И снова, простое нажатие в браузере кнопки Назад, нас возвращает авторизованными в Новый интерфейс.

Мой совет — ПРОДОЛЖИ общение с ПБ, но в этот раз добавь зелёные картинки-скриншоты (это чтобы пройти барьер «девочек» которых посадили пообщаться и показать что им не стыдно будет передать багу наверх, что она большая).
Обязательно покажи скриншот с куками после выхода, и красной стрелочкой, что вот она осталась.
Напиши коронную фразу «программистам это исправить 5 минут», но если СРОЧНО не починить, могут возникнуть существенные опасения у корпоративных клиентов, они могут отказаться от ПБ.
Почему так: это бюрократия. Они живут в параллельном мире.

Я им отсылал детальное описание со скриншотами. Именно после этих действий создал топик.
И что интересно, сегодня они заблокировали вход в новый интерфейс через privat24.ua. Совпадение).

егодня они заблокировали вход в новый интерфейс через privat24.ua

Если только по этой причине — очень глупо. Уязвимость сложно эксплуатируемая, наверняка есть воркэракунд. А вот ИСПРАВЛЕНИЕ могли сделать быстро.

В те времена когда я там работал, ответственного сотрудника бы набрали хоть в 3 часа ночи. И уже выяснив что проблема потерпит до утра — исправили бы тром в пожарном порядке.

Собственно всё исправление — это подправить функцию кнопки выхода, которая на джаваскрипте проверит, есть ли функция выхода из корпоративного, и соответственно вызовет её если есть. ТРИ СТРОЧКИ ПРИМИТИВНОГО КОДА.

Ну и тебе соответственно гривен 300 могли бы дать публично, и отвесить пиzдюлей тому сотруднику, который отпинал твоё сообщение. А заодно ПРОВЕРИТЬ все сообщения, которые он отпинал, по результатам проверки возможно уволить. Если то же самое найдут у других сотрудников отдела — уволить начальника.

Но это в нормально организации. В живой. А Приватбанк — медленно умирающая от старости бюрократия.

Если только по этой причине — очень глупо. Уязвимость сложно эксплуатируемая, наверняка есть воркэракунд. А вот ИСПРАВЛЕНИЕ могли сделать быстро.

Прочитал новость что вчера у Привата по всем продуктам (Веб-сервисы, банкоматы и т.д.) были Регламентные работы. Сегодня уже все на своих местах, и вход в Новый интерфейс и бага.

Приват відомий своїм ідіотизмом вже хз скільки років. Міняються тільки форми цього ідіотизму.
Років 10 назад можна було зареєструватись в Приват24, навіть не маючи приватівської карти і акт.рахунків.
І от описую сценарій: треба оплатити рахунок через PayPal, Visa Classic, що була прив’язана — expired, в наявності Visa Electron від Аваля, по якій оплата в інеті відключена. Саппорт Аваля: прийдіть у відділення, напишіть заяву. Мля...
Реєструюся в П24. Прив’язую авалівську карточку. Створюю приватівську доларову віртуалку. Перекидую кошти з авалівської карти на віртуалку, через меню П24. Кошти списуються (приходить смска від Аваля) і... на рахунку Привата не з’являються.
Дзвінок в саппорт Привата:
— де бабло ?
— назвіть номер карти
— називаю номери карти Аваля і віртуалки Привата
— а це не приватівська карта
— ця ні, але вона прив’язана до аккаунту
— а як ви відрили аккаунт, якщо у вас немає нашої карти ?
— (мля...) через Інтернет
— (зависають...)
— шукайте по номеру віртуалки
— (...) ми знайшли, але тут наших карт немає, тільки віртуалка
— так я на неї і перекидував
— (на кілька хвилин зависають) а у нас в регламенті написано до одного банківського дня...чекайте...
(через день)
— а у нас в регламенті написано до трьох банківських днів...
(через три дні)
— (...) напевно, проблема в Авалі, до нас нічого не приходило.
причому на той час Аваль вже підтвердив, що пройшло списання.
коротше, глухий номер... У відділенні Привата взагалі руками розводили.
гроші повернули через два місяці, після візиту в Аваль і заяви на chargeback.
P.S.
А через кілька років до того аккаунту ніяк не могли ні нову приватівську карту прив’язати, ні новий аккаунт завести (бо один вже є). Через два дні прибили старий і завели новий.

Банк — це завжди бюрократія. Будь де в світі. Я не кажу що це гарно, лише що це факт. Вони всюди однакові.

А я то думаю, чому після кліку на кнопці «Вихід» з сайту Пенсійного фонду України бачу повідомлення

При виході з Особистого кабінету ВЕБ-порталу обов’язково закрийте вкладку ВЕБ-порталу у Вашому веб-браузері та витягніть носій, який містить Ваш ЕЦП (за наявності)
Виявляється, і такі «фічі» бувають у сайтах серйозних компаній... )))

Замість того, щоб багу поправити.

В этом случае скорей не баг, а кое-что другое. Дело в том, что когда пишешь SPA и делаешь авторизацию на токенах, эти токены хранятся в какой-то переменной в памяти. При чем не всегда уследишь сколько таких переменных чтобы их обнулить при выходе. А они имеют какой-то срок действия, причем если это например json web token, то отозвать токен обычно нельзя (он не хранится на сервере). А если это oauth и вытянуть refresh token, то толку от отозванного access token нет. Совет «закрыть вкладку в браузере» может связан быть как раз с этим — чтобы не было шансов ничего достать из памяти приложения. Правда это можно решить банальной перезагрузкой страницы когда человек выходит (window.location.href="site.com"), а не просить закрыть страницу.

Вау, как через универсальный интерфейс!

Хз что ты имеешь в виду, но это теоретически возможный вариант. И в таком случае это не «не могут баг поправить», а просто мера предосторожности. Потому что удалить токен из локального хранилища легко, а вот гарантировать что он не остался нигде в памяти — невозможно. Хотя хз как там этот пенсийный фонд написан, я не проверял.

UPD. Таки-да, ангулар c2n.me/3L46CO6

Отсюда следует, что человек который садится после Вас за компьютер, имея ссылку из Preconditions шаг No 2, узнает о Вас самые интимные финансовые подробности (как минимум).

Просто цікаво, а якщо браузер закрити повністю (не одну закладку, а усі вікна конкретного браузера), а потім відкрити, ви все ще зможете зайти без введення пароля та смс? Дуже сумніваюсь.

Якщо таки ви зможете зайти, то тоді це точно можна назвати багом. Якщо ні — це не баг, а просто несподівана поведінка. Безпека тут не сильно страждає.

Ну тут же больше полфорума веб-программеров!
Ясно же, что по выходу не инвалидируется кука и это таки баг, иначе нафига та кнопка выхода вообще?

Ясно же, что по выходу не инвалидируется кука

Це зовсім не очевидно.

иначе нафига та кнопка выхода вообще

Може коли не виходити, то буде ефект «запам’ятате мене», тобто після перезавантаження комп’ютера все ще можна буде увійти. Тобто кнопка «вийти» убиває довго-живучу куку, але ще залишає куку поточної сесії.

Може коли не виходити, то буде ефект «запам’ятате мене», тобто після перезавантаження комп’ютера все ще можна буде увійти. Тобто кнопка «вийти» убиває довго-живучу куку, але ще залишає куку поточної сесії.

Ну так вы сами себе и ответили — нужно инвалидировать обе. )

Хуже того что не инвалидируется кука — то что она ВООБЩЕ не сверяется с валидностью сессии, которая её создала. Иначе говоря, если эта кука получасовая, другие могут оказаться вечными.

Авторизация в одной системе порождает авторизацию в другой. А вот то же самое для выхода — не сделали. То есть сессия для бизнеса остаётся активной, со всеми вытекающими. И проблема там не в одной куке, а полноценная бага где зависает авторизированная сессия. Со всеми вытекающими, включая возможный эксплойт эккаунта специальной атакой спамом на корпорации, использующие ПБ. Маловероятно, но тем не менее, если даже 1 из 10 000 писем сработает, это уже задница. Просто не представляешь, насколько быстро П24 может взять денег в овердрафт.

Судя по описанию, система так же уязвима к cookie replay attack, что с огромной натяжкой можно назвать багом а не уязвимостью, особенно учитывая, что в 2017 году все нормальные финансовые конторы эти дырки давно позакрывали.

Просто цікаво, а якщо браузер закрити повністю (не одну закладку, а усі вікна конкретного браузера), а потім відкрити, ви все ще зможете зайти без введення пароля та смс? Дуже сумніваюсь.
Якщо таки ви зможете зайти, то тоді це точно можна назвати багом. Якщо ні — це не баг, а просто несподівана поведінка. Безпека тут не сильно страждає.

Закрытие/открытие браузера не влияет на воспроизводимость баги. В течении 30 мин. вставляю нужный линк и попадаю в систему.

на нада дописать дестроить айди сессии по выходу или при неактивности больше чем 5 минут, работы на 20 минут.

Это фича, а не баг. :-)

Сервисы привата мало чем могут удивить. Хотя они наименее неудобные среди конкурентов.

Это бага, но не уязвимость. Если вы на чужом компьютере входите в свой приват24 — это уже не безопасно, так как на компьютере может стоять кейлогер или другое приложение и писать трафик.

На фоне забытых выходов из терминалов пополнения это капля в море. Из последних пяти случаев пополнения — три раза наблюдал незакрытую сессию предыдущего клиента.

Наблюдал? Просто наблюдал?

Подписаться на комментарии